ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

RSTP快速生成树协议之(四):RSTP的保护功能

2021-04-17 23:35:43  阅读:676  来源: 互联网

标签:协议 BPDU RSTP 报文 端口 生成 交换机 TC


RSTP快速生成树协议之(四)RSTP的保护功能

  在上一个笔记中,我介绍了RSTP对于STP做出了哪些改进。这一节笔记,我们继续学习RSTP的保护功能,了解RSTP在对待可能的黑客攻击时,提供了哪些安全防御措施。

 

  BPDU保护

  (1)攻击原理

  RSTP为了减少不必要的拓扑收敛,可以通过配置指定边缘端口(edge port),通过边缘端口连接的设备可以不参与RSTP收敛,而直接将状态转为转发(Forwarding)状态。

  若边缘端口在收到BPDU后,会丧失边缘端口的属性,而重新加入到生成树计算中。

 

  (2)攻击方式

  如下图所示,SWB配置了边缘端口(图中红色点处),这样就无须参与STP生成树计算。

   

  假设有一名黑客,在边缘端口处接入了一台运行生成树协议的交换机,此交换机向SWB发送RST BPDU报文,SWB从边缘端口收到BPDU报文后,会自动将该端口设置成非边缘端口,并重新进行生成树计算。也引起整个网络其他交换机也进行拓扑变更,致使网络震荡。从而达到攻击者的目的。

 

  (3) 防御措施--BPDU保护

  针对这种攻击方式,RSTP提供可配置的BPDU保护功能。

  配置BPDU保护后,若边缘端口收到BPDU报文,交换机将会立即关闭该端口,直到管理员人工重新打开端口。这样就可以有效的防止网络发生震荡。

 

 

  根保护

  (1)攻击原理

  当一台根交换机从指定端口收到桥优先级比它高的BPDU报文时,会认为网络拓扑发生了改变,并放弃自己的根桥地位,转而去转发这个优先级比它高的BPDU报文。这样网络结构也会跟着变动。

  但是,如果这个优先级高的BPDU是来自一台属于黑客的交换机呢?这样,该黑客的交换机就会成为RSTP网络的根桥,网络内的所有交换机都必须经过该黑客的交换机才能进行转发,这无疑达到了黑客窃取数据的目的。

 

 

  (2)攻击方式

  如下图所示,RSTP网络中SWA为根桥。此时有一名黑客,将自己的交换机通过SWC接入到网络中。

   

  黑客可以将新接入交换机的桥优先级设置得比原根桥高,这样只要网络维护人员安全意识不高,网络中合法根桥有可能会收到优先级更高的RST BPDU,使得合法根桥失去根地位,从而引起网络拓扑结构的错误变动。

 

 

  (3) 防御措施 -- 根保护

  针对这种攻击方式,RSTP提供可配置的根保护功能。

  一旦启用根保护功能的指定端口(DP)收到优先级更高的RST BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间,如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。

  Tips:根(root)保护只能在指定端口上配置。

 

 

 

 

  TC-BPDU泛洪保护

  (1)攻击原理

  在前面的STP笔记中提到过,当下游交换机感知到网络拓扑发生变化时,会向上游(也就是根桥方向)发送TC-BPDU(TCN)报文,根桥收到报文后, 再统一向下游交换机发送TC报文,通知下游需要删除当前的MAC地址表。

  黑客可以利用这个机制,不断向RSTP网络中发送TC-BPDU报文,致使交换机频繁删除自己的MAC地址表,不仅对网络设备造成巨大的负担,而且增加了网络的不稳定性。

 

  (2)攻击方式

  如下图所示,黑客通过某种手段将自己的终端设备连接到RSTP网络中的交换机SWB的端口上。

   

  黑客可以通过不断地伪造和发送通告拓扑发生变更的TC-BPDU报文,交换机设备短时间内会收到很多TC-BPDU报文,频繁的删除MAC地址表的操作会给设备造成很大的负担,给网络的稳定带来很多隐患。

 

 

  (3) 防御措施 -- TC-BPDU攻击保护

  通过启用防TC-BPDU报文攻击功能,在单位时间内,可以配置RSTP进程处理TC类型的BPDU的最大次数。如果在单位时间内,RSTP进程收到TC类型的BPDU报文数量大于配置的阈值时,RSTP进程只会处理阈值指定的次数,对于其他超出阈值的TC类型BPDU报文,定时器到期后,RSTP进程只对其统一处理一次。

  通过这种方式,可以避免频繁的删除MAC地址表项,从而达到保护交换机的目的。

  Tips:缺省的单位时间是2秒,缺省的最大处理次数是3次

 

 

  以上介绍的就是RSTP在安全方面提供的保护功能。而具体的RSTP配置方式将会在下一节笔记继续进行介绍。

------------恢复内容结束------------

标签:协议,BPDU,RSTP,报文,端口,生成,交换机,TC
来源: https://www.cnblogs.com/zylSec/p/14672493.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有